Phishing-Attacken werden immer versierter

Die „Anti Phishing Working Group“ meldet, dass die Zahl der Phishing-Mails von Januar auf Februar nur um zwei Prozent gewachsen ist. Seit Juli 2004 wurden bis dahin monatliche Steigerungsraten von 26 Prozent verzeichnet. Die schlechte Nachricht: Gerade seit Anfang des Jahres werden die Angriffe deutlich komplexer und zielgerichteter.

Ging es bei den ersten Phishing-Angriffen noch darum, ahnungslose Nutzer durch legitim aussehende E-Mails auf manipulierte Duplikate bekannter Websites zu locken und dort ihre persönlichen Daten abzugreifen, sind die Attacken zwischenzeitlich technisch deutlich versierter. So wird neben E-Mail mittlerweile auch Instant Messaging als Medium für den Versand von Links genutzt und mittels Java Script werden normale Websites mit gefälschten Inhalten überlagert.

Mittels versierterem Social Engineering gehen die Betrüger mittlerweile auch gezielt auf bestimmte Nischen zu. So wurden bereits erste Angriffe auf Kunden von Salesforce.com registriert. Das Unternehmen bietet gehostete CRM-Applikationen, das heißt Daten sind auf einem Internet-Server abgelegt, der Zugriff wird über einen normalen Webbrowser abgewickelt.

In einer gefälschten E-Mail wurde Kunden der kostenlose Zugriff auf neue Features angeboten, wenn sie sich auf einer bestimmten Website mit ihrem Benutzernamen und Passwort anmelden. Die Folgen der Freigiebigkeit dieser Daten sind katastrophal: Die Angreifer bekommen so Zugriff auf wichtige Kundendaten, die einfach an Marketingunternehmen weiterverkauft oder für das gezielte Abwerben genutzt werden können. Laut der Anti Phishing Working Group versuchen Angreifer inzwischen auch, auf diesem Wege Zugangsdaten für Firmen-Netzwerke zu erschleichen.

Die Dreistigkeit der Betrüger kennt keine Grenzen. So werden mittlerweile auch E-Mails, in denen vorgeblich vor Phishing gewarnt wird als Träger für Links zu manipulierten Seiten genutzt. Doch nicht nur das Social Engineering wird versierter, inzwischen wird auch technisch aufgerüstet.

Ein als Pharming bezeichnetet Phänomen beschreibt die Manipulation von DNS-Servern, das heißt die Eingabe der Adresse Ebay.de in den Browser führt nicht mehr zur echten Website des Online-Auktionshauses, sondern auf eine täuschend echte Kopie. Und das, obwohl es sich um die korrekte Adresse handelt. Die Chancen, diesen Betrug zu erkennen, gehen gegen Null. Auch das so genannte Cross Scripting ist immer häufiger anzutreffen. Dabei werden mittels Java Script Bereiche einer legitimen Site mit manipulierten Inhalten überlagert, über die Betrüger dann sensible Daten abgreifen.

„Die Arbeit wurde während der letzten sechs Monate deutlich professioneller“, beschreibt Paul Mutton von Netcraft die Entwicklung. „Ich glaube es ist angemessen zu sagen, dass ein Ende nicht in Sicht ist“, so die düstere Prognose von Dave Jevans, Chairman der Anti Phishing Working Group. „Phishing wird noch schlimmer werden, das ist fast eine Gewissheit.“